Böswillige Hacker haben möglicherweise Tausende von Organisationen kompromittiert, indem sie zwei neue Zero-Day-Schwachstellen ausgenutzt haben, die in weit verbreiteter Software des Cybersicherheitsgiganten Palo Alto Networks gefunden wurden.
Sicherheitsforscher bei Palo Alto Networks sagte Mittwoch dass sie eine „begrenzte Anzahl von Ausnutzungsaktivitäten“ im Zusammenhang mit den beiden Schwachstellen in PAN-OS beobachtet haben, dem Betriebssystem, das auf allen Firewalls der nächsten Generation von Palo Alto läuft. Die Fehler gelten als Zero-Day-Fehler, da das Unternehmen keine Zeit hatte, Patches zu veröffentlichen, bevor die Fehler ausgenutzt wurden.
Das Unternehmen sagte, es habe die Ausnutzung der beiden Fehler beobachtet, darunter CVE-2024-0012wodurch ein Angreifer mit Netzwerkzugriff auf die Verwaltungs-Weboberfläche Administratorrechte erlangen kann, während der zweite Fehler verfolgt wird als CVE-2024-9474ermöglicht es einem Angreifer, mit höheren Root-Rechten Aktionen auf der kompromittierten Firewall durchzuführen.
Wenn diese Schwachstellen zusammen genutzt werden, kann ein Angreifer aus der Ferne bösartigen Code mit den höchstmöglichen Berechtigungen in betroffene Firewalls einschleusen und so einen tieferen Zugriff auf das Netzwerk eines Unternehmens ermöglichen.
Palo Alto Networks sagt, dass Angreifer jetzt ihre eigene funktionale Ausnutzung nutzen, um die beiden Schwachstellen miteinander zu verketten, um eine „begrenzte Anzahl von Geräteverwaltungs-Webschnittstellen“ anzugreifen, die im Internet verfügbar sind.
Nach Angaben der Shadowserver Foundation, einer gemeinnützigen Organisation, die das Internet auf die Ausnutzung von Sicherheitslücken scannt und überwacht, Hacker haben bereits kompromittiert Mehr als 2.000 betroffene Palo Alto Networks-Firewalls wurden durch die Ausnutzung der beiden kürzlich behobenen Schwachstellen verursacht. Die gemeinnützige Organisation stellte fest, dass sich die meisten kompromittierten Geräte in den Vereinigten Staaten befanden, gefolgt von Indien, wobei Hacker auch Firewalls im Vereinigten Königreich, Australien und China ausnutzten.
Auf Anfrage von Tech wollte Palo Alto Networks nicht bestätigen, wie viele Firewalls kompromittiert wurden.
Das US-amerikanische Cybersicherheitsunternehmen Arctic Wolf sagte diese Woche, dass seine Forscher bereits am 19. November beobachtet hätten, wie Hacker die beiden Schwachstellen der Palo Alto-Firewall ausnutzten, um in Kundennetzwerke einzudringen, nachdem ein Proof-of-Concept-Exploit veröffentlicht worden war.
„Nach erfolgreicher Ausnutzung haben wir beobachtet, wie Bedrohungsakteure versuchten, Tools in die Umgebung zu übertragen und Konfigurationsdateien von den kompromittierten Geräten zu exfiltrieren“, sagte Andres Ramos, ein Threat-Intelligence-Forscher bei Arctic Wolf Der Blogbeitrag des Unternehmens.
Palo Alto Networks veröffentlichte Patches für die beiden Schwachstellen und forderte die Organisationen auf, so schnell wie möglich Patches zu installieren. Auch die US-Cybersicherheitsbehörde CISA hat die beiden Schwachstellen in ihr Verzeichnis aufgenommen Katalog bekannter ausgenutzter Sicherheitslückendas zivile Bundesbehörden faktisch anweist, ihre Systeme innerhalb eines Zeitfensters von drei Wochen zu patchen.
Laut Forschern eines Sicherheitsunternehmens watchTowr Labsder die Patches von Palo Alto zurückentwickelte, resultierten die Mängel aus grundlegenden Fehlern im Entwicklungsprozess.
Dabei handelt es sich um die jüngste Sicherheitslücke, die in den letzten Monaten in Unternehmenssicherheitsgeräten wie Firewalls, VPN-Produkten und Fernzugriffstools entdeckt wurde, die am Rande des Unternehmensnetzwerks sitzen und als digitale Gatekeeper fungieren. Dies ist die zweite große Sicherheitswarnung von Palo Alto Networks in diesem Jahr, neben Schwachstellen, die in ähnlichen Produkten gefunden wurden, die von den Cybersicherheitsanbietern Ivanti und Check Point entwickelt wurden.